§ 12 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Akvizice, vývoj a údržba
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 12 · IT právo a ochrana dat
Stručně: Paragraf 12 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby spravující kritickou informační infrastrukturu nebo významné informační systémy ohledně zajištění bezpečnosti při pořizování, vývoji a údržbě těchto systémů.
§ 12 Akvizice, vývoj a údržba
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona stanoví bezpečnostní požadavky na změny informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému spojené s jejich akvizicí, vývojem a údržbou a zahrne je do projektu akvizice, vývoje a údržby systému.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) identifikuje, hodnotí a řídí rizika související s akvizicí, vývojem a údržbou informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury; pro postupy hodnocení a řízení rizik se metodiky podle § 4 odst. 1 písm. a) použijí obdobně,
b) zajistí bezpečnost vývojového prostředí a zajistí ochranu používaných testovacích dat a
c) provádí bezpečnostní testování změn informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury před jejich zavedením do provozu.
Paragraf 12 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby spravující kritickou informační infrastrukturu nebo významné informační systémy ohledně zajištění bezpečnosti při pořizování, vývoji a údržbě těchto systémů.
Co to znamená v praxi
Subjekty musí předem stanovit bezpečnostní požadavky pro jakékoli změny v systémech (např. při nákupu nového softwaru, vývoji vlastní aplikace nebo provádění údržby) a tyto požadavky zahrnout do plánu projektu.
U kritické informační infrastruktury je nutné identifikovat, hodnotit a řídit rizika spojená s akvizicí, vývojem a údržbou, a to s využitím obdobných metodik jako pro celkové řízení rizik.
Je třeba zajistit bezpečnost prostředí, ve kterém probíhá vývoj, a chránit data používaná pro testování.
Před zavedením jakýchkoli změn do provozu u kritické informační infrastruktury je povinné provést bezpečnostní testování.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.